Scoperta vulnerabilità Smartphone Android: Google avvisa i produttori

Quattro vulnerabilità permettono il controllo totale degli smartphone Android. Google avvisa: “Qualcuno le sta sfruttando”

Google ha avvisato ieri tutti i produttori di smartphone Android che ha identificato e chiuso quattro pericolose vulnerabilità che qualcuno sta attivamente sfruttando.

Le falle zero day erano note da qualche settimana, e Google le aveva già inserite nel bollettino di sicurezza mensile relativo al mese di maggio insieme ad altre 50 vulnerabilità.

Ieri Google ha aggiornato il bollettino, specificando che purtroppo quattro di quelle vulnerabilità sono attualmente sfruttate da qualcuno per accedere ai dispositivi e ottenere il controllo totale, con possibilità di eseguire codice con i massimi privilegi e di scaricare ogni dato senza che l’utilizzatore se ne accorga.

La notizia è stata data dalla ricercatrice di Google Project Zero Maddie Stone, che mette in evidenza come quelle falle siano legate non tanto ad Android quando alle GPU, sia la versione classica Mali di ARM usata da tutti sia in quella personalizzata di Qualcomm chiamata Adreno.

Le falle, siglate CVE-2021-1905 e CVE-2021-1906, riguardano quindi i possessori di uno smartphone con GPU Adreno di Qualcomm, mentre quelle siglate CVE-2021-28663 e CVE-2021-28664 riguardano le GPU Mali ARM che vengono oggi utilizzate ad esempio dagli Exynos di Samsung e dai processori Mediatek.

La falla più grave, per la facilità con cui può essere sfruttata, è quella legata al processore Snapdragon, ma anche le altre tre vengono identificate come gravi e possono essere associate tra loro per raggiungere la condizione peggiore: privilegi di root sui dispositivi e possibilità di eseguire codice con i massimi privilegi. Dallo scaricamento dei dati personali all’installazione di altri malware.

Google non ha fornito ulteriori dettagli, ma siamo davanti ad un tipo di falla che richiede comunque una certa abilità per potervi accedere. Qualcuno, come ha scritto Google, lo sta già facendo: nelle ultime settimane sono state trovate le tracce che portano a pensare che ci siano dispositivi attualmente colpiti, anche se Google non ha spiegato come fare per capirlo. Tutto, dalla complessità della vulnerabilità alle metodologie di attacco, porta comunque a pensare che si tratti di qualche gruppo ben organizzato probabilmente associato a qualche agenzia governativa o a qualche servizio di spionaggio.

Torna a galla il periodico problema legato agli aggiornamenti dei dispositivi: nelle prossime settimane, o al massimo il prossimo mese, l’aggiornamento di sicurezza di Google che chiude queste vulnerabilità arriverà sugli smartphone che oggi vengono regolarmente aggiornati.

Quando però parliamo di una falla che permette il controllo totale del dispositivo, falla che in questo preciso istante qualcuno sta attivamente sfruttando, l’attesa di un mese per una patch, che fino ad oggi in ambito Android viene visto come un qualcosa di accettabile, potrebbe non esserlo più.

La scoperta di falle di questo tipo deve portare ad un tempo di reazione di pochi giorni, con una distribuzione della correzione praticamente in tempo reale. Invece, se prendiamo ad esempio le falle delle GPU ARM, nel bollettino si sicurezza di Samsung di maggio, non sembrano essere ancora incluse queste correzioni, probabilmente arriveranno in quello di giugno. Tardi.

Nelle patch di sicurezza di maggio di Samsung questa falla non è ancora stata chiusa

Solo i possessori di smartphone Pixel, essendo Google il collettore e il gestore di tutto quel che riguarda la sicurezza su Android, hanno la certezza di essere tra i primi a ricevere le patch. Ma anche per i Pixel, nel caso di problemi urgenti come questo, non è previsto il rilascio di una patch istantanea come invece accade su Windows o su iOS se viene identificata una falla grave.

Google dovrebbe iniziare a pensare ad un modo per far scaricare le patch urgenti senza passare dagli OEM, ma al momento, anche secondo quanto visto al Google I/O, questo non sembra essere nei piani di Big G.

Fonte: DDay

Ultimi articoli

spot_img

Related articles